Come posso accedere in modo sicuro dall'esterno della mia rete locale al mio desktop?

Prima di qualunque attività di questo tipo è assolutamente indispensabile consultare il responsabile del sistema informativo.

Ogni punto di accesso dall'esterno aumenta i rischi di sicurezza, sia per le vulnerabilità del software che si impiega (basti ricordare, ad esempio, la vulnerabilità rdp scoperta nel 2012 [v.gd/JgjF1L]), sia per la ”qualità“ dell'autenticazione richiesta [v.gd/ZUZSUw].

Cancellazione dei dati

E' proprio per questo che in molte organizzazioni questo tipo di accesso è strettamente regolamentato.

La prima distinzione da fare è sul sistema operativo del desktop. La seconda, altrettanto importante, è se il nodo cui si vuole accedere si trova o meno dietro un sistema di Network Address Translation (NAT) [v.gd/o3KWUp] e/o quali porte sono accessibili dall'esterno. Come al solito, mi limito sempre a soluzioni multipiattaforma e con i soliti caveat: le opinioni sono del tutto personali e senza pretesa di essere complete. I software utilizzabili, e vedremo con quali limitazioni, possono essere i seguenti: RDP, VNC, X2Go, NoMachine

Il più versatile, quello che copre tutti i casi possibili, è TeamViewer, che però, oltre a non essere open source, è gratuito solo per usi personali. Se il sistema cui connettersi è Windows, probabilmente la soluzione più semplice è RDP, opportunamente configurato per renderlo più sicuro, come ad esempio limitare gli utenti abilitati [v.gd/vNIUI3]. In alternativa NoMachine, con il limite di due utenti, o la versione open source X2Go, non facilissimo da configurare, che usa la porta SSH. Se il sistema è dietro un NAT è necessario l'uso di una VPN [v.gd/yBdKJB], o di un tunnel SSH, a seconda delle politiche di accesso della vostra organizzazione.

Nel caso di un sistema Unix la soluzione preferibile è X2Go o NoMachine con VNC come seconda scelta [v.gd/2vN2VO]. Nel caso di VNC il protocollo non prevede che il traffico sia cifrato, a parte la fase di login. Ci sono implementazioni che rimediano a questa carenza, ma non necessarie se dovrete utilizzare una VPN o un tunnel SSH. Per concludere, ribadisco la necessità, qualunque sia la soluzione scelta, di utilizzare quanto meno una ”buona“ password, non utilizzata da altre parti e da mantenere privata: diffidate dagli inviti che vi arriveranno per mail di scriverla su una qualche pagina web, pena la cancellazione dell'account o altre terribili calamità...